Hallo Der Martin,

Ich habe ein Kontaktformular das sich bei Submit selbst aufruft ...

und damit machst du dir selbst die Sache schwierig.

Das hat den Grund, dass die Fehlermeldungen dann direkt in die Seite integriert sind und nicht optisch aus dem Inhalt gerissen werden.

Also habe ich eine Abfrage dazwischengeschaltet, die $_SERVER['HTTP_REFERER'] überprüft und den Check nur dann durchführt, wenn der Eintrag dort die Datei mit dem Formular ist (PHP_SELF).

Was ist, wenn ich die URL deines Kontaktformulars direkt aufrufe? Wenn ich sie als Bookmark abrufe? Wenn jemand direkt auf dein Kontaktformular verlinkt? Wenn ich ein Privacy-Tool verwende, das den Referer ausfiltert? Wenn ich einen Browser verwende, bei dem ich die Übermittlung des Referers abgeschaltet habe? In all diesen Fällen kommt _kein_ Referer oder der einer anderen Seite bei dir an, und deine Falle schnappt zu. In allen skizzierten Fällen IMHO unberechtigt.

Dafür kann ich ja vorweg abfragen, ob in HTTP_REFERER überhaupt etwas steht.

Beste Grüße